Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

IVS_CTO_Night_and_Day_2016_Winter_Morning_Seession1-4_hkiriyam

459 views

Published on

Infinite Ventures Summit CTO Night & Day 2016 Winter で開催されたモーニングセッション「情報セキュリティポリシー101」の資料です。

Published in: Engineering
  • Be the first to comment

IVS_CTO_Night_and_Day_2016_Winter_Morning_Seession1-4_hkiriyam

  1. 1. 2016 Winter Morning Session 1-4 情報セキュリティポリシー101 アマゾン ウェブ サービス ジャパン株式会社 セキュリティソリューションアーキテクト 桐山隼人 2016.12.6
  2. 2. 2 はじめに • 本セッションはディスカッション形式で行われます。現状 (As-is)とあるべき姿(To-be)、その過程で経験した壁や落とし 穴の発表をお願いいたします • 組織が異なればやり方も異なるはずです。そのやり方を選択 すべきなのは、その組織のどのような特性によるものかを考 えます • 情報セキュリティポリシーは「手段」であり、「目的」では ありません。もし煮詰まった場合は、そもそも何故それをや ろうとしているのかWHYに立ち返りましょう 2
  3. 3. 3 情報セキュリティポリシーの構成 IPA:情報セキュリティマネジメントとPDCAサイクル http://www.ipa.go.jp/security/manager/protect/pdca/policy.html
  4. 4. 4 情報セキュリティポリシーサンプル JNSA:情報セキュリティポリシーサンプル改版(1.0版) http://www.jnsa.org/result/2016/policy/index.html
  5. 5. 5 連邦政府情報システムにおける推奨セキュリティ管理策 (SP 800-53 rev.2) NIST:連邦政府情報システムにおける推奨セキュリティ管理策 https://www.ipa.go.jp/files/000025334.pdf
  6. 6. 6 AWS Quick Start : NIST フレームワーク デプロイガイド CloudFormation テンプレート NIST フレームワーク セキュリティコントロール 対応表 Standardized Architecture for NIST-based Assurance Frameworks on the AWS Cloud: Quick Start Reference Deployment http://docs.aws.amazon.com/ja_jp/quickstart/latest/accelerator-nist/welcome.html
  7. 7. 7 AWS Quick Start : PCI DSS 標準アーキテクチャ デプロイガイド CloudFormation テンプレート PCI DSS セキュリティコントロール 対応表 AWS クラウド上の PCI DSS 標準アーキテクチャ: クイックスタートリファレンスデプロイ https://aws.amazon.com/jp/about-aws/whats-new/2016/05/pci-dss-standardized-architecture-on-the-aws-cloud-quick-start-reference-deployment/
  8. 8. 8 AWSセキュリティセンターとAWSコンプライアンス • セキュリティやコンプライアンス関する多くの質問に対する回答 • セキュリティWhitepaper • リスクとコンプライアンス Whitepaper • セキュリティプロセス概要 Whitepaper • “Security at Scale” whitepaper シリーズ • Security bulletins • 侵入テスト申請フォーム • Securityベストプラクティス • 詳しい情報のお問い合わせ先 https://aws.amazon.com/jp/security https://aws.amazon.com/jp/compliance
  9. 9. 9 コンプライアンス情報の使いどころ 9 • AWS利用者のセキュリティ評価、チェックシートの回答等に利用 • AWSの内部に関する統制状況はホワイトペーパーや、SOC1/2・PCI 等のNDAベースで提供している情報から評価 • 多層的なコントロールを考え ることでその確認項目に関す るリスクを許容できるものに できるか検討 • それでも許容できないリスク が残る場合はAWSにご相談を
  10. 10. AWS コンプライアンス詳細情報 • 英語のサイトの情報もご確認ください。 http://aws.amazon.com/compliance/?nc2=h_ls • 各種保証プログラムや重要項目に関するFAQ、公開資料 • PCI DSS • ISO27001/27017/27018/9001 • CSA • Data Privacy/EU Data Protection • SOC • FedRAMP • HIPAA • GxP • DoD • Compliance Latest News • ダウンロード可能な認証 • AWS ISM Letter of Compliance • AWS ISO 27001/27017/27018/9001 Certification • Multi-Tier Cloud Security Standard Level-3 (CSP) Certification • AWS SOC 3 Report 10
  11. 11. 一般的な参考URL IPA 企業の情報セキュリティマネジメント http://www.ipa.go.jp/security/manager/protect/management.html セキュリティの基本となるフレームワーク(ポリシー/スタンダード/プロシージャ)など最初に読んでお くべき内容が十分にまとまっています。 総務省 国民のための情報セキュリティサイト http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html 企業・組織の対策の中でも、組織幹部/社員・職員全般/情報管理担当者と役割ごとに押さえる対策をま とめています。 経済産業省 情報セキュリティガバナンス確立促進事業 http://www.meti.go.jp/policy/netsecurity/secgov.html セキュリティベンチマークやガイドラインへ辿ることができます。 経済産業省 運用者向けセキュリティ関連コンテンツ一覧 http://www.meti.go.jp/policy/netsecurity/secdoc/ope_contents.html 最強のリンク集の一つです。セキュリティポリシー例を知りたい場合に膨大な参考例があります。 11
  12. 12. AWS関連の参考URL CIS Amazon Web Services Foundations Benchmark v1.0.0-02-29-2016 https://benchmarks.cisecurity.org/tools2/amazon/CIS_Amazon_Web_Services_Found ations_Benchmark_v1.0.0.pdf CISという米国業界団体がまとめたAWSを使用する際のセキュリティベンチマークです。必ず 押さえておきたいセキュリティ項目がまとまっています。 AWS Answers Security https://aws.amazon.com/jp/answers/security/ AWS利用する上での課題ごとにセキュリティベストプラクティスをまとめたものです。 AWS クイックスタート https://aws.amazon.com/jp/quickstart/ セキュリティと可用性に関する AWS ベストプラクティスに沿ったデプロイガイド、1クリッ クで環境構築できるテンプレート、セキュリティコントロール対応表などがあります。 AWS ISO 27001 コンプライアンス https://aws.amazon.com/jp/compliance/iso-27001-faqs/ ISO27001(ISMS)に関するAWS情報をまとめたものです。 12
  13. 13. #ctonight

×